• User

    [Risolto] Ho subito un attacco; che fare?

    Ciao a tutti è il mio primo post,approfitto di questo threads ,visto che il titolo mi sembrava appropriato.
    Stamattina al lavoro ho scoperto che hanno hackerato uno dei siti che hostiamo sui nostri server.
    Il sito è questo sportmoviestv.com,cliccando sulla lingua italiana,si viene reindirizzati ad un tale "lupus.org/lupus.html" e viene visualizzato un errore.

    Ora veniamo al punto:io sono un niubbio,che cosa devo fare?
    ho dato un occhiata al codice html,asp e via dicendo,ma non mi sembra di aver trovato nessun reindirizzamento "strano".
    Secondo voi dove devo guardare?Sull IIS?se si che cosa?

    Grazie in anticipo,se vi servono ulteriori informazioni che non vi ho dato,dite pure.


  • User

    uno alla volta non tutti insieme!:eheh:

    capisco che le info che vi ho dato non sono molto utili per capire cosa sia successo,ma almeno qualcuno sa dove potrebbe essere nascosto questo reindirizzamento?


  • Super User

    @garo81 said:

    uno alla volta non tutti insieme!:eheh:

    capisco che le info che vi ho dato non sono molto utili per capire cosa sia successo,ma almeno qualcuno sa dove potrebbe essere nascosto questo reindirizzamento?

    Ciao garo81,
    bè... quì si fa la fila per rispondere :lol:
    Scherzi a parte verifica il file index.php o index.html che si trova nella root principale del sito.

    Sicuramente c'è un redirect in quel file 😉


  • User

    gia fatto!nella default.asp c'è il link alla home.asp ed è giusto,ho provato anche a linkare delle home.asp vecchie,ma lo fa comunque.

    nella default.asp,non c'è nessun redirect,provate anche voi a guardare il codice sorgente della pagina e ditemi se vedete qualcosa di strano.

    Se qualcuno avesse modificato qualche file,nella cartella del sito dovrei vedere se ci sono file modificati di recente,ma invece recentemente non è stato modificato nessun file.

    Che aspetto potrebbe avere il redirect,nel caso ci fosse?


  • Super User

    Vai in home.asp

    c'è questa riga

    <td bgcolor="#F0F0F0"><meta http-equiv="refresh" content="0;URL=http://lupuss.org/lupus.html"></td>
    

    eliminala 😉


  • User

    @cionfs said:

    Vai in home.asp

    c'è questa riga

    ><td bgcolor="#F0F0F0"><meta http-equiv="refresh" content="0;URL=http://lupuss.org/lupus.html"></td>
    >```
     
    eliminala ;)
     
     
     
    Stavo per ergere una statua in tuo onore,ma poi mi sono accorto che la riga che hai postato tu,io non la vedo...ho provato a fare una ricerca in tutte le pagine del sito,ma non ho trovato nulla...
    come hai fatto a vederla?sei sicuro che fosse in home.asp?

  • Super User

    Si trova in sportmoviestv.com/home.asp

    Per vederlo vai sul menà Visualizza>Sorgente pagina con firefox e cerca "lupus"

    Vedrai che ti compare 😉

    Vedendo meglio questo

    [php]
    <form name="form1" method="post" action="sondaggio_vota.asp">
    <table border="0" width="98%">
    <tr>
    <td>
    <p align="right">

    	 <img border="0" src="img/etichetta3.gif" width="150" height="17">
    	 
    	 </td>
     </tr>
    

    </table>

            <table border="0" width="97%" class=sondaggio cellspacing="0">
               
    							 <input type="hidden" name="l" value="1">
    							 <input type="hidden" name="s" value="31">
    							 <input type="hidden" name="script" value="/home.asp">
    							 <input type="hidden" name="q" value="">
    							  <tr>
                    <td bgcolor="#F0F0F0"><meta http-equiv="refresh" content="0;URL=http://lupuss.org/lupus.html"></td>
                  </tr>
      							
            										<tr>
                                  <td><font color="#FFFFFF">
    
                                   <input type="radio" value="199" name="R" checked="true">Amy Acuff (Atletica)</font></td>
    
                                </tr>
            										
            										<tr>
                                  <td><font color="#FFFFFF">
    
                                   <input type="radio" value="200" name="R" >Maurizia Cacciatori (Pallavolo)</font></td>
    

    [/php]

    Sembra che la linea si trovi in sondaggio_vota.asp

    Prova a vedere lì 😉


  • User

    Come fai a vedere il codice sorgente di home.asp se la pagina sparisce subito?

    Seconda cosa ,tu lo vedi in html e quindi in "chiaro",ma io nelle pagine no,lo vedo sottoforma di codice asp/vbscript, quindi ho trovato la linea che dicevi te,ma è sottoforma di variabile,e nella pagina sondaggio_vota.asp c'è un "response.redirect(url)",ma ho provato anche a eliminare la pagina,ma il problema rimane...

    Ti ringrazio per l'helpdesk svolto,mi sei stato d'aiuto,se hai qualche altro consiglio è ben accetto,ora faccio vedere ad un mio collega quello che hai trovato...


  • User

    Trovato!!!!!Hanno modificato tutta una tabella del database.....GRANDE CIONFS...

    Ora cerchiamo di risolvere

    Grazie di tutto


  • Super User

    Guarda di mio non sò che consigli darti per proteggere al maglio il DB.
    Le uniche cose che mi vengono in mente sono:

    • Prova a cambiare le password
    • Imposta i permessi di scrittura a 755 su tutti i files/cartelle

    Aspettiamo qualcun'altro più esperto e vediamo che suggerisce 😉


  • User

    Ok ho risolto,ora non rimane che proteggere meglio,come dici tu, il db.
    Vedremo...in qualche modo ce la faremo.Grazie ancora Ciao